El grupo cibercriminal Maze, quien afirma haber hackeado los sistemas del Banco de Costa Ria (BCR), amenazó este martes con divulgar en los próximos días la totalidad de los números de tarjeta que fueron 'sustraídos'.
La amenaza lanzada a través de un comunicado de prensa posteado en su página oficial afirma que el BCR no se ha tomado en serio la advertencia que fue lanzada desde el 30 de abril sobre que sus sistemas fueron vulnerados y que fue sustraída la información de 11 millones de tarjetas de crédito, de las cuales 4 millones son tarjetas de crédito únicas y 140 mil pertenecen a ciudadanos estadounidenses.
"Probablemente el Banco de Costa Rica vive en su propia realidad (...) y no le importan sus clientes o la confidencialidad de la información", dice el nuevo comunicado.
El grupo criminal señaló que "como una pequeña prueba" publicaron toda la información de la estructura de red interna del Banco de Costa Rica, y advirtieron que si eso no es suficiente para que el Banco reaccione, mañana miércoles publicarán toda la información de los procesores de pago y al día siguiente (jueves) publicarán la información de todas las tarjetas de crédito, sin ocultar ninguno de los números de esas tarjetas.
Maze afirma que el primer ataque al BCR fue realizado en agosto del 2019, y aunque los protocolos vigentes exigen que la institución hubiese reportado esa vulneración a las autoridades, no lo hizo. El segundo ataque habría tenido lugar en febrero de este año y allí fue donde sustrajeron credenciales de 11 millones de tarjetas de crédito, incluida información de las tarjetas e historial de transacciones.
Dato D+: El último estudio del Ministerio de Economía sobre el mercado de tarjetas asegura que a enero del 2020 en todo el país hay solo 2.944.009 tarjetas de crédito en circulación. Si se suman las tarjetas de débito, el número nacional de plásticos circulando asciende solo a 8.693.081 tarjetas.
A raíz de publicaciones extraoficiales e informales que han circulado en redes sociales se realizó una exhaustiva verificación de la plataforma tecnológica y rotundamente confirmamos que los sistemas de la institución no han sido vulnerados. Asimismo, activamos nuestros protocolos, incluyendo los enlaces con otras entidades especializadas nacionales e internacionales y lo que se determinó es que se trata de un intento de extorsión.
El BCR aseguró que personas inescrupulosas intentan aprovecharse de la afectación del COVID-19, por lo que hizo un llamado a la ciudadanía a no responder a mensajes o llamadas de extorsión cibernética y dijo que en caso de sufrir una vulneración tecnológica “seremos los primeros en alertar sobre cualquier situación irregular que se presente o que pudiera afectar a nuestros clientes”.
Inclusive, este mismo martes el Banco volvió a negar la vulneración.
"Nuestros clientes no han sido afectados por la información que se atribuye es del BCR. Ni la infraestructura, ni los sistemas de información del Banco han sido vulnerados. Estamos en presencia de una extorsion y al igual que en el mundo físico, lo que pretenden los delincuentes es obtener un beneficio patrimonial ilícito, por eso el BCR no ha negociado ni va a negociar con ellos", dice un comunicado oficial.
El Banco afirmó haber interpuesto la denuncia en vía judicial y serán las autoridades quienes analicen esa información y determinen el origen; modalidad; identificación y otros aspectos relacionados con la información que circula en diferentes medios;
El BCR ha aportado a las autoridades toda la información necesaria para que realicen su labor y ha dispuesto que nuestros expertos en seguridad se pongan a sus órdenes para todo lo que requieran.